Jag sitter i styrelsen i min BRF, och har fått i uppgift att ladda upp ett gäng filer och dokument till valfri molnlagringstjänst. Tanken är att alla styrelsemedlemmar enkelt ska komma åt dessa filer. Finns det något man ska tänka på, framförallt gällande GDPR eller andra personuppgiftslagar, eller är det bara att köra?
Spontant tänker jag att google drive är lämpligt, någon som har något bättre alternativ? Jag antar att vi inte är den första BRF:en med detta problem, så därför fiskar jag lite efter input här.
Bra fråga! Först och främst, jag är ingen jurist så vill ni ha 100% korrekt juridisk rådgivning kontakta en sådan.
Inte helt hundra på huruvida regelverket ser annorlunda ut för föreningar, men min misstanke är att det inte gör det så jag kör vidare på det antagandet. Först och främst utgår jag från att ni följer det grundläggande i GDPR och iakttar allt det ni är skyldiga att göra: Grundläggande principer enligt GDPR | IMY
Det viktigaste stycket när det gäller er verksamhet är följande (min fetstil):
När ni behandlar personuppgifter måste ni se till att uppgifterna skyddas på ett bra sätt genom att vidta lämpliga säkerhetsåtgärder.
Alla personuppgifter som ni behandlar måste skyddas, så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt. Ni ska också se till så att personuppgifter inte förloras eller blir förstörda, till exempel genom olyckshändelser.
Ni måste därför införa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Till tekniska åtgärder räknas till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virus-skydd. Organisatoriska åtgärder handlar till exempel om interna rutiner, instruktioner och riktlinjer.
Hur ni väljer att göra detta är upp till er själva. Är man jurist kan man tolka lagen ännu längre, och väga in t.ex. aspekter som amerikanska Cloud Act som innebär att amerikansk säkerhetstjänst kan begära ut uppgifter som finns i moln hos amerikanska bolag och deras dotterbolag. Den extrema tolkningen är därför att uppgifter hos ex. Google inte är skyddade från (alla) obehöriga.
Som du förstår är det otroligt komplext, och man kan göra det antingen väldigt svårt eller ganska lätt för sig. I slutändan så är det en avvägning ni måste göra. Tänk speciellt på att tidigare styrelsemedlemmar inte skall ha tillgång när styrelsen byts ut.
Jag jobbar inte med juridik. Jag ser personligen inga problem med Google Drive, det är dock viktigt att bara dem som ska ha åtkomst till filerna har åtkomst till dem. Jag skulle rekommendera att kryptera alla filer och kräva ett lösenord/Autentiseringsapp för avkryptering. Om det går?
Alla användare/konton som har åtkomst till filerna ska ha tvåfaktorsautentisering aktiv.
GDPR handlar väldigt mycket om kontroller. Vilka personuppgifter har vi? Vart ligger dem? Varför? Och hur raderar vi dem när vi inte behöver dem längre? Vem är ansvarig för att se till att vi efterlever GDPR? Har vi haft intrång? Har personuppgifter läckt? I så fall har man ett begränsat tidsfönster på sig att informera berörda personer och Dataskyddsmyndigheten(?) eller vad den nu heter.
Det stämmer att det finns ingen särskiljning I GDPR lagen för AB och förening. Ni har ansvar som Personuppgifts-Ansvariga och skall hantera alla personuppgifter enligt förordningen - DVS:
Ni måste vara säkra på att informationen är endast tillgängligt för de som skall ha den, dvs personliga konto med loggar och inget “Alla med länk kan öppna” typ av delning. Tänk på Medlemshantering, åtkomstnivå, regler för Vidarebefordring, ledlandning etc.
Ni måste vara säkra på att informationen lagras på korrekt sätt med en godkänd leverantör, PUBA avtal måste finnas på plats för alla leverantörer och lagring måste ske inom EU eller i ett land/företag som är godkänd enligt adekvat nivå ([Adekvat skyddsnivå vid tredjelandsöverföring | IMY](https://IMY Adekvat Skyddsnivå)).
Ni får inte lagra informationen längre än nödvändigt, dvs manuell eller automatisk gallring måste tillämpas.
Allt detta inkl. anledning, vilka personuppgifter och hos vem måste finns tillgängligt i era personuppgiftshanteringspolicy.
Boappa som pownas nämnde - verkar vara ett bra alternativ om man vill köpa detta som tjänst, se bara till att ni förstår deras personuppgiftshantering och vart gränsen går för när de eller ni är Personuppgiftsansvariga.
Eller om ni hellre vill slippa läsa hela förordningen och anställa en timkonsult för att sköta allt det där är det bara att skicka ett meddelande!
Om styrelsen kan tänka sig att köpa in en billig, begagnad dator (tex en förverkad företagsdator) och låta den stå igång dygnet runt i ett låst utrymme någonstans i fastigheten, så skulle ni kunna använda den som en server och installera en self hostig mjukvara som ni kan använda som filhanterare och delningscenter. Det finns väldigt bra open source tjänster som ni kan installera och konfigurera nästa utan någon teknisk kunskap alls. Då slipper ni tänka på behandling av personuppgifter utanför EU/EES. Med en self hosting mjukvara som tex Nextcloud kan ni skapa användarkonton till alla i föreningen och dela in dem i användargrupper. Grupperna används sedan för att styra behörigheter till filer och dokument. På den vägen säkerställer ni att rätt personer har åtkomst till rätt information. Dessutom kan ni, om ni vill, välja att ha all information lokalt, dvs att den inte ligger på internet och därmed kan bli stulen, utan att den endast går att nå om man är ansluten till föreningens nätverk, samma som servern är ansluten till.
Det här låter förmodligen jätteavancerat för den som inte kan eller är intresserad, men det är egentligen superenkelt. Det handlar mest om att vänja sig vid ett nytt användargränssnitt än Google Drive och liknande tjänster. Om någon i föreningen är lite mer intresserad av teknik så kan det här dessutom vara ett kanontillfälle att lära sig lite mer genom att sätta upp en egen server i produktionsmiljö.
Jag jobbar som konsult med IT, informationssäkerhet och GDPR och har tidigare varit dataskyddsombud i en större organisation. Här är några saker att tänka på och att inte tänka på.
Formellt sett är det inte juridiskt råd men det är samma råd som jag ger kunder. Vill man ha ett formellt råd får man skicka DM.
GDPR förbjuder normalt inga molntjänster. Det är fullt lagligt för en BRF (och företag, andra föreningear, mfl) att använda USA-baserade tjänster som Microsoft 365. Funkar även för offentlig sektor med med vissa begränsningar kring sekretressreglerade uppgifter. Cloud ACT hindrar inte USA-moln men har man mycket känsliga uppgifter (t.ex. sådant som är känsligt för industrispionage) bör man undvika att lägga dessa i USA-baserade molntjänster (min bedömning). Det finns ett adekvansbeslut enligt GDPR (EU-US Data Privacy Framework) som tar hänsyn till Cloud ACT och annan access till uppgifter som USA:s underrättelsetjänst har. Det finns risk att det beslutet kan ogiltigförklaras senare men just nu gäller det. Och om det blir ogiltigt så betyder det inte att USA-molntjänster automatiskt blir olagliga, utan snarare att det är oklart vad som gäller.
För en BRF så är råden som @Fotbollsgras länkar till bra. GDPR för BRF:er handlar framförallt som andra saker än molnlagring. Det viktigaste är att inte samla på sig för mycket information och särskilt inte sådan information som ni inte behöver. Det finns ett känt rättsfall där Deutsche Wohnen fick feta GDPR-böter (sanktionsavgifter) för att de hade sparat en massa information de inte skulle ha, och alldeles för länge. Skriv inte upp en massa orelaterade uppgifter om medlemmarna och deras eventuella tillkortakommanden som inte är nödvändiga.
Som Bjoern säger ovan så måste man se till att man har rätt behörigheter till personuppgifter. Det kommer från kraven i Artikel 5.1f och Artikel 32 i GDPR. Vad som är “rätt” säkerhetsnivå beror helt på uppgifternas känslighet, men i en vanlig bostadsrättsförening så hanterar man normalt inte några överdrivet känsliga uppgifter. Det betyder att vanlig behörighetstilldelning räcker. Troligen kan ni ha en gemensam arbetsyta som alla i styrelsen har varsitt konto till. Ni bör också aktivera tvåfaktorinloggning så att det inte räcker med bara lösenord. Det är lätt att det blir hackat.
När man ansluter sig till en molntjänst så brukar det följa med standardiserade personuppgiftsvillkor. Dessa motsvarar ett personuppgiftsbiträdesavtal, så man behöver normalt inte teckna ett särskilt sådant. Det är fixat från början. Hos Microsoft är det t.ex. deras DPA (Data Protection Addendum) som gäller.
Till ekonomisystemet, där man kan betala fakturor, så behöver man absolut ha tvåfaktorinloggning.
Utöver detta, så tycker jag att en förening bör ha ett internt kommunikationssystem med chattkanaler. Det gör att man kan få till väldigt bra internkommunikation i en förening. Ett kostnadsfritt alternativ som jag vet fungerar är Slack. Gratisvarianten är väldigt begränsad men ni kan bjuda in alla föreningens medlemmar och på så sätt få till en riktigt bra intern kommunikation i föreningen. Man kan sätta upp olika kanaler för olika syften. T.ex. kan styrelsen ha en egen kanal. Man kan också använda gratis alternativ såsom Element som fungerar ungefär som Slack. Det ska också gå att boka onlinemöten i Element. Vill man ha en enklare kommunikationslösning som är integritetssäker så kan man använda chatgrupper i Signal. Försvarsmakten rekommenderar Signal på grund av dess höga säkerhet. Nackdelen med Signal är dock att man inte kan ha olika kanaler för olika ämnen så det finns risk att kommunikationen blir stökig om man diskuterar många olika ämnen i samma grupp.
Microsoft 365 är en bra lösning som också löser föreningen behov men den är lite dyrare och framförallt väldigt komplex att administrera.
Vi har kört Google Drive i ett par år nu och det funkar rätt okej. Fördelen är ju att man kan redigera dokument etc utan att behöva Word, Excel osv och att alla i styrelsen har tillgång till dokumenten. Vi har kört ett konto som vi alla delar på. Nackdelen är att Google inte gillar det, och gör det svårare för vissa enheter att logga in osv. Sen är det hela den juridiska aspekten man kan fundera på. Vi förvarar dock inga dokument som har med medlemmarna att göra utan mer ritningar, skötselråd mm. Ett alternativ skulle ju vara att flytta till Proton, men vet inte hur de hanterar flera enheter på gemensamt konto. Nån som vet?
Vi kör också Boappa, men där använder vi inte styrelsedelen så mycket. Men dokumentarkivet för medlemmar kör vi starkt med. Där finns all info som medlemmarna behöver. Nackdelen är ju att ska man redigera nåt får man ladda ner dokumentet, göra ändringen, ladda upp igen manuellt.
Boappa är inte längre gratis om man är medlem i Bostadsrätterna, men jag tror man får 50% rabatt. Boappa brukar vara schyssta och erbjuda gratis provperiod om man kontaktar dem. Då kan man testa allt innan man kör igång skarpt.
Lyssnar gärna vidare här i tråden om det finns helt andra lösningar.
